English

◀◁ 뒤로 취약점ID 21460 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 phpBB의 버전 정보에 따르면 해당 소프트웨어에는 'viewtopic.php' 스크립트에 PHP 파일 주입 취약점이 존재한다. phpBB는 게시판(bulletin board)을 위한 오픈 소스 소프트웨어 패키지로써 데이터베이스로는 MySQL, MS-SQL, PostgreSQL, Access/ODBC 등을 사용한다. phpBB 2.0.11 이전 버전들은 원격지 공격자들이 악의적인 PHP 파일을 주입할 수 있도록 허용한다. 이는 애플리케이션이 'viewtopic.php' 스크립트를 통해 전달되는 사용자 입력을 적절히 검사하지 못하여 발생한다. 원격지 공격자들은 원격지 시스템의 악의적인 파일을 명시한 'highlight' 변수를 포함하는 잘 조작된 'viewtopic.php' 요청을 서버에 전달하는 방법으로, 대상 서버가 원격지 서버에 위치한 임의의 PHP 코드를 포함하거나 실행하도록 만들 수 있다. * 참고 사이트: http://www.kb.cert.org/vuls/id/497400 http://securityfocus.com/archive/1/381510 http://securityfocus.com/archive/1/380993 http://securityfocus.com/archive/1/381582 http://securityfocus.com/archive/1/385208 * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 phpBB의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 영향을 받는 플랫폼: phpBB Group, phpBB 2.0.11 이전 버전들 모든 운영체제 모든 버전 해결책 phpBB 웹 사이트인 http://www.phpbb.com/index.php 에서 구할 수 있는 phpBB의 가장 최신 버전(2.0.11 혹은 이후)으로 업그레이드 하여야 한다. 임시 조치방법은 다음 사이트에서 구할 수 있다: http://www.phpbb.com/phpBB/viewtopic.php?t=240513 관련 URL CVE-2004-1315 (CVE) 관련 URL 10701 (SecurityFocus) 관련 URL 18052 (ISS)